Anbieter und Anwender von Cloud-Services sind sich bei Sicherheitsfragen in Bezug auf den Fokus, Prioritäten und Verantwortlichkeiten nicht einig. Die Studie, „Security of Cloud Computing Providers“ die das Ponemon Institut im Auftrag von CA Technologies durchgeführt hat, belegt zweifelsfrei, dass Cloud-Anbieter mehr Gewicht auf Kostenreduzierung und schnelle Einführung legen – die zwei Hauptgründe für eine Migration in die Cloud – als auf die Sicherheit.
Sicherheit hat keine Priorität
Die Mehrheit der Cloud-Anbieter (79 Prozent) stellen nur zehn Prozent oder weniger an IT-Ressourcen für Sicherheits- oder Kontroll-Mechanismen bereit. Dieses Ergebnis deckt sich mit einer weiteren Erkenntnis der Studie: Weniger als die Hälfte der befragten Anbieter stimmen der These zu, dass für sie das Thema Sicherheit höchste Priorität habe. Fazit der Studienautoren: Wenn sich nichts Grundlegendes ändert, geraten Anbieter und Anwender von Cloud-Lösungen beim Thema Sicherheit in äußerst heikle Lage.
Besonders schwerwiegend ist dabei ein grundsätzliches Missverständnis. Denn während der Großteil der Cloud-Anbieter (69 Prozent) glaubt, dass für die Sicherheit hauptsächlich die Cloud-Nutzer verantwortlich sind, offenbart die Ponemon Befragung unter Anwendern aus dem letzten Jahr das exakte Gegenteil: Nur rund ein Drittel von ihnen fühlt sich als Cloud-Kunde selbst für die Sicherheit verantwortlich, ein Drittel glaubt, dass der Provider im Zugzwang ist, ein weiteres Drittel geht von einer geteilten Verantwortung aus.
Generell scheint das Thema Sicherheit bei den Providern eher ungeliebtes Stiefkind als wichtiges Anliegen und Qualitätsmerkmal im Wettbewerb: Weniger als 30 Prozent stufen das Thema Sicherheit als ernsthafte Verpflichtung ein und weniger als ein Fünfter der Anbieter sieht das Thema Sicherheit als möglichen Wettbewerbsvorteil. Nur jeder vierte Provider glaubt selbst, dass die Daten und Informationen seiner Kunden bei ihm tatsächlich sicher und geschützt sind.
„Der Fokus auf Kostenreduktion und schnelle Einführung mag Cloud-Anbietern derzeit reichen, doch sobald Unternehmen an dem Punkt anlangen, an dem einzig noch die sensiblen Daten und Anwendungen nicht in die Cloud migriert sind, beginnt die Sackgasse“, sagt Henk van der Heijden, Vice President Security Sales Europe bei CA Technologies. Denn es sei sehr wahrscheinlich, dass Unternehmen das Risiko eines Datenlecks als weit gefährlicher einschätzten, als dass sie durch eventuelle Kosteneinsparungen und hinzugewonnene Agilität aufgewogen würden.
Es droht der "Cloud Stau"
Und damit steuerten Anbieter wie Anwender auf einen „Cloud-Stau“ zu, also auf einen Zustand, an dem sich die Cloud-Einführung verlangsamt oder ganz stillsteht. „Das wird so lange andauern, bis die Unternehmen überzeugt sind, dass die Sicherheit in der Cloud genauso gut oder besser ist als die Sicherheit im eigenen Unternehmen“, sagt CA-Manager van der Heyden voraus.
Bei den befragten Cloud Provider war Software-as-a-Service der meist genutzte Service (SaaS, 55 Prozent), gefolgt von Infrastructure-as-a-Service (IaaS, 34 Prozent) und Platform-as-a-Service (PaaS, 11 Prozent). Dabei waren fast überall grundsätzliche Sicherheitsmechanismen installiert. Firewalls gehörten bei 94 Prozent der Anbieter zur Grundausstattung, knapp 80 Prozent haben Vorkehrungen gegen Virenattacken und Malware getroffen.
Aber bei allem, was über diesen Basisschutz hinausgeht, sieht es schlecht aus: Nur bei jedem zweiten Provider kamen Verschlüsselungstechnologien zum Einsatz, bei 58 Prozent beim Datentransfer („data in motion“), bei nur 43 Prozent bei gespeicherten Daten („data at rest“). Verschlüsselung für Wireless-Verbindungen nutzte sogar nur jedes achte Unternehmen und Vorkehrungen zum Vermeiden von Datenverlust („data loss prevention“) oder Single-Sign-On gehörte bei weniger als jedem zehnten Anbieter zu den installierten Sicherheitsmechanismen.
„Die Bedenken gegenüber den möglichen Risiken von sensiblen und vertraulichen Informationen in der Cloud sind bekannt“, sagt Larry Ponemon, Vorstandsvorsitzender und Gründer des Ponemon Institute. „Es ist nur eine Frage der Zeit, bis Nutzer von Cloud-Computing-Lösungen verbesserte Sicherheitssysteme verlangen“. Bis es allerdings soweit ist, sollten sich Nutzer von Cloud-Lösungen darüber im Klaren sein, dass letztendlich sie selbst für ihre Unternehmensdaten verantwortlich sind und deshalb vor einer Migration in die Cloud alle Risiken genauestens prüfen.
Unausgesprochene Erwartungen auf beiden Seiten
Die Studie zeigt ein fatales Missverständnis: Die unausgesprochene Erwartung auf Seiten der Anwender, dass der Cloud Anbieter sich schon um die Sicherheit kümmern wird, erfüllt sich im Normalfalle eben nicht. Ebenso wenig wie die Annahme der Provider, dass ihre Kunden sich der Gefahren bewusst sind und selbst die nötigen Sicherheitsvorkehrungen treffen. „Anwender sollten die Cloud-Anbieter – deren Lösungen und Infrastruktur – genauestens daraufhin untersuchen, ob sie ihre sensiblen Firmendaten schützen können, sagt Ponemon. Defizite gebe es auf beiden Seiten: „Letztlich müssen sowohl Cloud-Anwender als auch -Anbieter erkennen, wie wichtig es ist, gemeinsam an einer sicheren IT-Umgebung zu arbeiten.“
Für die Studie hat das Ponemon Institute insgesamt 127 Cloud-Service-Provider befragt, davon 103 in den USA und 24 in sechs europäischen Ländern. 65 Prozent der Cloud-Anbieter, die an der Studie teilnahmen, setzen ihre IT-Ressourcen in Public-Cloud-Umgebungen ein, 18 Prozent in privaten Clouds und 18 Prozent in hybriden Systemen.